Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

r517anex

Anuncio 
«ESCUDO»
ANEXO
I. INTRODUCCION
La información es un recurso que, como el resto de los activos, tiene valor para el
Organismo y por consiguiente debe ser debidamente protegida.
Las Políticas de Seguridad de la Información protegen a la misma de una amplia
gama de amenazas, a fin de garantizar la continuidad de los sistemas de
información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de
los objetivos del Organismo.
Para ello, se deben implementar políticas inherentes a la seguridad de la información
en el marco de las funciones y facultades establecidas por la ley N° 24.065, su
Decreto Reglamentario y los Contratos de Concesión.
II. OBJETIVOS
Proteger los recursos de Información del Organismo y la tecnología utilizada para su
procesamiento, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad y disponibilidad de la misma.
Establecer la administración de la seguridad de la información, como parte de los
objetivos y funciones del Organismo, asegurando la implementación de las medidas
de seguridad comprendidas en esta Política e identificando los recursos necesarios
para tales fines.
Mantener la Política de Seguridad del Organismo actualizada, a efectos de asegurar
su vigencia y nivel de eficacia.
III. TÉRMINOS Y DEFINICIONES
A los efectos de la presente Política se aplican las siguientes definiciones:

Información: se refiere a toda comunicación o representación de conocimiento
inherente a las misiones y funciones del ENRE, en cualquier forma, con inclusión de
formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en
cualquier medio, ya sea magnético, en papel, en pantallas de computadoras,
audiovisual u otro.
 Seguridad de la información: se entiende como la preservación de las siguientes
características:
Confidencialidad: la información será accesible sólo a aquellas personas autorizadas
a tener acceso a la misma.
«ESCUDO»
Integridad: consiste en salvaguardar la exactitud y totalidad de la información y los
métodos de procesamiento.
Disponibilidad: acceder a la información y a los recursos relacionados con la misma.

Sistema de Información: se refiere a un conjunto independiente de recursos de
información organizados para la recopilación, procesamiento, mantenimiento,
transmisión y difusión de información según determinados procedimientos, tanto
automatizados como manuales

Tecnología de Información: se refiere al hardware y software operados por el
Organismo o por un tercero que preste servicios al Organismo, sin tener en cuenta la
tecnología utilizada, ya sea de computación de datos, telecomunicaciones u otro tipo.

Propietario de la Información: se vincula con la generación y/o administración; o
disposición, de la información, entendiéndose por “propietario” a cualquier área del
organismo que posea la responsabilidad respecto de su manejo y preservación,
conforme a sus funciones y competencias.

Compromiso de Confidencialidad: instrumento por el cual la persona física o jurídica
declara conocer y aceptar la existencia de determinadas actividades que pueden ser
objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no
violar el derecho a la privacidad de las personas físicas o jurídicas.
IV. POLÍTICAS DEL ORGANISMO
1. ASPECTOS GENERALES

Organización de la Seguridad: orientado a administrar la seguridad de la información
dentro del Organismo y establecer un marco gerencial para controlar su
implementación.

Clasificación y Control de Activos: destinado a mantener una adecuada protección de
los activos del Organismo.

Seguridad del Personal: orientado a reducir los riesgos de error humano, comisión de
ilícitos contra el Organismo o uso inadecuado de instalaciones.

Seguridad Física y Ambiental: destinado a impedir accesos no autorizados, daños e
interferencia a las sedes e información del Organismo.

Gestión de Comunicaciones y Operaciones: dirigido a garantizar el funcionamiento
correcto y seguro de las instalaciones de procesamiento de la información y medios
de comunicación.
2
«ESCUDO»

Control de Acceso: orientado a controlar el acceso lógico a la información.

Desarrollo y Mantenimiento de los Sistemas: orientado a garantizar la incorporación
de medidas de seguridad en los sistemas de información desde su desarrollo y/o
implementación y durante su mantenimiento.

Administración de la Continuidad de las Actividades del Organismo: orientado a
contrarrestar las interrupciones de las actividades y proteger los procesos críticos de
los efectos de fallas significativas o desastres.

Cumplimiento: destinado a impedir infracciones y violaciones de las leyes del
derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas,
reglamentos o contratos; y de los requisitos de seguridad.
2. ASPECTOS ESPECÍFICOS - OBJETIVOS
2.1.
PERSONAS FÍSICAS Y JURÍDICAS
Reducir los riesgos de error humano, el uso inadecuado o malicioso de los recursos
de información del ENRE como así también la divulgación y manejo no autorizado de
la información crítica.
Hacer conocer a los públicos internos y externos del Organismo, la Política de
Seguridad de la Información y establecer políticas de comunicación de incidentes en
cuanto a seguridad.
Suscribir Compromisos de Confidencialidad con todos los agentes.
Capacitar a todo el Organismo, en todo lo referido a política, normas y
procedimientos de Seguridad de la Información.
2.2.
SEGURIDAD FÍSICA Y AMBIENTAL
Brindar el marco para minimizar los riesgos de daños e interferencias sobre la
información y operaciones del Organismo. Asimismo, pretende evitar al máximo el
riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros
de seguridad y de áreas protegidas
Garantizar la protección física de los accesos, del equipamiento y de la
documentación
2.3.
GESTIÓN DE COMUNICACIONES Y OPERACIONES
3
«ESCUDO»
Garantizar el funcionamiento correcto y seguro
procesamiento de la información y de comunicaciones.
de
las
instalaciones
de
Asignar responsabilidades e implementar los procedimientos para su gestión y
operación.
Establecer funciones de desarrollo y operatividad, a fin de reducir el riesgo de
modificaciones no autorizadas, error humano, uso negligente o mal uso deliberado
de los sistemas.
2.4.
CONTROL DE ACCESOS
Impedir el acceso no autorizado a todos los sectores que produzcan, promuevan y
reciban información propia y de terceros.
Implementar la asignación de derechos de acceso a los sistemas, servicios de
información, bases de datos y todo lo que contemple la presente política.
2.5.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Garantizar la seguridad durante el desarrollo y la implementación de sistemas de
Información y/o aplicativos, tanto internos como externos.
Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo
e implementación de los sistemas
Optimizar los controles de seguridad de entrada y salida del Organismo.
Monitorear la gestión, el mantenimiento de los sistemas operativos y el software de
base, en las distintas plataformas.
2.6.
CONTINGENCIAS
Garantizar la continuidad de las actividades del Organismo mediante la
implementación de “Planes de Continuidad” y “Procedimientos de Contingencia”.
Identificar los recursos de Información críticos
4
«ESCUDO»
Implementar los planes y procedimientos para contingencias asegurando el
funcionamiento de los sistemas y equipos soporte de la información en tiempos
limitados.
Realizar controles periódicos para identificar y reducir los riesgos, limitar las
consecuencias de los incidentes que afectan negativamente, y asegurar el tiempo de
respuesta de las operaciones esenciales.
Realizar periódicamente verificaciones y pruebas de los procedimientos para
contingencias, como así también relevar datos para facilitar la actualización de los
planes.
2.7.
NORMAS LEGALES Y CONTRACTUALES
Dar cumplimiento a las obligaciones establecidas por leyes, estatutos, normas,
reglamentos o contratos en el diseño, operación, uso y administración de los
sistemas de información.
Definir normas y procedimientos para garantizar el cumplimiento de las restricciones
legales al uso del material protegido por normas de propiedad intelectual y a la
conservación de registros.
3. SEGURIDAD FRENTE AL ACCESO POR PARTE DE TERCEROS
3.1.





IDENTIFICACIÓN
Cuando exista la necesidad de otorgar acceso a terceras partes a información del
Organismo, el Responsable de Seguridad Informática y el Propietario de la
Información de que se trate, llevarán a cabo y documentarán una evaluación de
riesgos para identificar los requerimientos de controles específicos, teniendo en
cuenta, entre otros aspectos:
El tipo de acceso requerido (físico/lógico y a qué recurso).
Los motivos para los cuales se solicita el acceso.
El valor de la información.
Los controles empleados por la tercera parte.
La incidencia de este acceso en la seguridad de la información del Organismo.
En todos los contratos cuyo objeto sea la prestación de servicios a título personal
bajo cualquier modalidad jurídica que deban desarrollarse dentro del Organismo, se
establecerán los controles, requerimientos de seguridad y compromisos de
confidencialidad aplicables al caso, restringiendo al mínimo necesario, los permisos a
otorgar.
Se cita a modo de ejemplo:
a) Personal de mantenimiento y soporte de hardware y software.
b) Limpieza, "catering", guardia de seguridad y otros servicios de soporte
tercerizados.
5
«ESCUDO»
c) Pasantías y otras designaciones de corto plazo.
d) Consultores.
En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de
procesamiento u otras áreas de servicios críticos, hasta tanto se hayan
implementado los controles apropiados y se haya firmado un contrato o acuerdo que
defina las condiciones para la conexión o el acceso.
3.2.







REQUERIMIENTO
TERCEROS
DE
SEGURIDAD
EN
CONTRATO
O
ACUERDO
CON
Se revisarán los contratos o acuerdos existentes o que se efectúen con terceros,
teniendo en cuenta la necesidad de aplicar los siguientes controles:
a) Cumplimiento de la Política de seguridad de la información del Organismo.
b) Protección de los activos del Organismo, incluyendo:
Procedimientos para proteger los bienes del Organismo, abarcando los activos
físicos, la información y el software.
Procedimientos para determinar si ha ocurrido algún evento que comprometa
los bienes, por ejemplo, debido a pérdida o modificación de datos.
Controles para garantizar la recuperación o destrucción de la información y los
activos al finalizar el contrato o acuerdo, o en un momento convenido durante
la vigencia del mismo.
Restricciones a la copia y divulgación de información.
c) Descripción de los servicios disponibles.
d) Nivel de servicio esperado y niveles de servicio aceptables.
e) Permiso para la transferencia de personal cuando sea necesario.
f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.
g) Existencia de Derechos de Propiedad Intelectual.
h) Definiciones relacionadas con la protección de datos.
i) Acuerdos de control de accesos que contemplen:
Métodos de acceso permitidos, y el control y uso de identificadores únicos como
identificadores de usuario y contraseñas de usuarios.
Proceso de autorización de accesos y privilegios de usuarios.
Requerimiento para mantener actualizada una lista de individuos autorizados a
utilizar los servicios que han de implementarse y sus derechos y privilegios con
respecto a dicho uso.
j) Definición de criterios de desempeño comprobables, de monitoreo y de
presentación de informes.
k) Adquisición de derecho a auditar responsabilidades contractuales o surgidas del
acuerdo.
l) Establecimiento de un proceso para la resolución de problemas y en caso de
corresponder disposiciones con relación a situaciones de contingencia.
m) Responsabilidades relativas a la instalación y al mantenimiento de hardware y
software.
n) Estructura de dependencia y del proceso de elaboración y presentación de
informes que contemple un acuerdo con respecto a los formatos de los mismos.
o) Proceso claro y detallado de administración de cambios.
p) Controles de protección física requeridos y los mecanismos que aseguren la
6
«ESCUDO»
implementación de los mismos.
q) Métodos y procedimientos de entrenamiento de usuarios y administradores en
materia de seguridad.
r) Controles que garanticen la protección contra software malicioso.
s) Elaboración y presentación de informes, notificación e investigación de incidentes
y violaciones relativos a la seguridad.
t) Relación entre proveedores y subcontratistas.
3.3
REQUERIMIENTO DE SEGURIDAD EN CONTRATO DE TERCERIZACIÓN
Los contratos o acuerdos de tercerización total o parcial para la administración y
control de sistemas de información, redes y/o ambientes de PC del Organismo,
contemplarán además de los puntos especificados en (“Requerimientos de Seguridad
en Contratos o Acuerdos con Terceros”, los siguientes aspectos:
a) Forma en que se cumplirán los requisitos legales aplicables.
b) Medios para garantizar que todas las partes involucradas en la tercerización,
incluyendo los subcontratistas, están al corriente de sus responsabilidades en
materia de seguridad.
c) Forma en que se mantendrá y comprobará la integridad y confidencialidad de los
activos del Organismo.
d) Controles físicos y lógicos que se utilizarán para restringir y delimitar el acceso a la
información sensible del Organismo.
e) Forma en que se mantendrá la disponibilidad de los servicios ante la ocurrencia de
desastres.
f) Niveles de seguridad física que se asignarán al equipamiento tercerizado.
g) Derecho a la auditoría por parte del Organismo sobre los aspectos tercerizados en
forma directa o a través de la contratación de servicios ad hoc.
Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de
seguridad con el acuerdo de las partes.
7
Descargar
Anuncio
Anuncio